Quelle personne ​peut​ ​effectuer​ ​un​ ​audit​ ​de​ ​la​ ​protection​ ​de​ ​vos​ ​données dans votre entreprise ?

,
RGPD 2018

Les données personnelles relèvent de la vie privée. C’est pourquoi leur utilisation par les entreprises doit être encadrée juridiquement. En Europe, c’est le Règlement Général à la Protection des Données (RGPD) qui énumère les obligations que doivent suivre les entreprises en matière de protection des données. Pour se conformer aux nouvelles normes, les entreprises devront faire un audit de protection des données. Elles feront ainsi le point sur les décalages entre leurs processus de traitement​ ​des​ ​données​ ​et​ ​la​ ​nouvelle​ ​règlementation,​ ​et​ ​c’est​ ​le​ ​​DPO​​ ​qui​ ​va​ ​effectuer​ ​cet​ ​audit.

Audit​ ​de​ ​protection​ ​des​ ​données :​ ​première​ ​étape​ ​vers​ ​la​ ​mise​ ​en​ ​conformité

Grâce à l’informatique, les entreprises peuvent aujourd’hui obtenir et gérer de plus en plus de données personnelles mais cette situation invite à la vigilance. Les entreprises doivent protéger encore plus les données personnelles de leurs clients. Le RGPD a justement été mis en place pour les obliger à prendre en compte ces nouvelles nécessités. Il leur impose de revoir leurs processus de traitement de données. L’audit fait par le ​délégué à la protection des données constitue la première étape de cette révision. L’audit a pour but d’aider les entreprises dans leur travail de mise en conformité avec le RGPD. Concrètement, il permettra de décrire le processus de traitement des données utilisées par l’entreprise dans son quotidien tout en mettant en relief les écarts par rapport aux​ ​normes​ ​sur​ ​la​ ​protection​ ​des​ ​données​ ​actuellement​ ​en​ ​vigueur.

Un​ ​délégué​ ​à​ ​la​ ​protection​ ​des​ ​données​ ​en​ ​interne

Le délégué à la protection des données internes peut effectuer un audit des données. Comme son nom l’indique, ce délégué fait partie de l’entreprise à auditionner. Et pour garantir son indépendance, la loi l’a doté d’un statut bien particulier. Ainsi, il est protégé dans l’exercice de ses fonctions. La loi dit par exemple que le délégué ne sera jamais relevé de ses fonctions ou sanctionné par son supérieur pour des agissements faits dans le cadre de l’exercice de ses fonctions. Malgré cette protection, le ​DPO ​interne reste un salarié soumis aux règles du code du travail. Il peut être légitimement​ ​licencié​ ​s’il​ ​commet​ ​un​ ​vol,​ ​un​ ​harcèlement​ ​sexuel​ ​ou​ ​une​ ​faute​ ​grave.

Un​ ​DPO​ ​externe

Le RGPD prévoit qu’il est tout à fait possible pour une entreprise de recourir au service d’un ​DPO externe pour faire un audit de la protection des données de leur entreprise. Cette solution à ses bons et ses mauvais côtés. Tout d’abord, à première vue, le délégué externe exerce ses fonctions dans une plus grande indépendance que le délégué interne. Il y a donc là une plus grande garantie d’objectivité et les risques de conflits d’intérêts sont moindres. Le problème c’est que lors de l’audit, le délégué externe va pouvoir accéder à des informations très sensibles (fiches des salariés, contacts des collaborateurs…).​ ​Il​ ​est​ ​donc​ ​important​ ​de​ ​bien​ ​choisir​ ​un​ ​DPO​ ​externe.

Rôle​ ​de​ ​la​ ​CNIL

La CNIL joue un rôle important en matière de protection de données. Elle sensibilise les entreprises au respect des lois sur la protection des données. Elle joue également un rôle de contrôle. Elle peut effectuer un contrôle au sein de l’entreprise et donner des sanctions en cas de non-conformité. Il est à rappeler que le ​délégué à la protection des données est l’interlocuteur principal de la CNIL au sein de​ ​l’entreprise.​ ​Le​ ​DPO​ ​doit​ ​informer​ ​la​ ​CNIL​ ​en​ ​cas​ ​de​ ​manquement​ ​aux​ ​règles​ ​pré-établies.